it-swarm.com.de

Wireshark kann den WPA2-LAN-Verkehr nicht entschlüsseln

Ich möchte meinen eigenen Netzwerkverkehr entschlüsseln.

Ich habe Linux Mint auf einem Samsung-Laptop mit einem AR542x Wireless-Netzwerkadapter.

Öffnen Sie Wireshark, starten Sie die Erfassung im Promiscuous-Modus und im Monitor-Modus, und ich erhalte alle Pakete um mich herum.

Das Problem ist, dass ich es nicht entschlüsseln kann.

Ich habe in Einstellungen -> Protokolle -> IEEE 802.11-Entschlüsselungsschlüssel hinzugefügt:

  • pwd im Format pass: ESSID
  • PSK generiert aus pass + salt von der Wireshark-Website

Ich habe viele Kommentare zu diesem Thema gefunden und alles ausprobiert:

  • spielen Sie mit "Schutzbit ignorieren" und "Angenommen, Pakete haben FCS".
  • wireshark neu gestartet
  • schließen Sie ein Gerät nach dem Start der Erfassung an das LAN an, damit der Handshake erfasst werden kann.

Was kann ich machen ?

BEARBEITEN:

Ich habe Wireshark auf die letzte stabile Version für Linux aktualisiert und funktioniert immer noch nicht.

6

OK, beginnen wir mit den Grundlagen. Um den Datenverkehr zu entschlüsseln, benötigen Sie den PTK (Pairwise Transient Key), der bei jeder Verbindung dynamisch generiert wird (daher müssen Sie den 4-Wege-Handshake erfassen) und vom PMK (oder PSK) abgeleitet wird wird vom PBKDF2 generiert und verfügt über zwei Eingänge (es hat mehr, ist aber fest codiert), die Sie bereits haben.

Damit Wireshark den Datenverkehr entschlüsseln kann, muss der Vier-Wege-Handshake erfasst werden (von hier aus müssen ANounce, SNounce und MIC überprüft werden, ob das PTK mit der Konversation übereinstimmt) und das PMK bereitgestellt werden.

Um das PMK bereitzustellen, fügen Sie einfach die Passphase zur 802.11-Schlüsselliste unter Bearbeiten-> Einstellungen-> IEEE 802.11 mit der richtigen Syntax hinzu

wpa-pwd:passphrase:SSID
OR
wpa-pwd:passphrase

Die SSID ist optional. Wireshark kann sie vom Handshake abrufen, wenn sie angezeigt wird.

WENN DU BENUTZT wpa-psk: Sie müssen das PMK (PSK) manuell mit der PBKDF2-Funktion berechnen und die Ausgabe (256-Bit-Schlüssel) danach wie folgt schreiben:

wpa-psk:47389...30413

Hier ist die Anleitung aus dem Wiki. Vielleicht fehlt dir nur die wpa-pwd: im Schlüsselfeld.

  • pwd im Format pass: ESSID

ENDGÜLTIGE LÖSUNG

Wählen Sie in Wireshark den Kanal aus, in dem der AP eingeschaltet ist. ( Bereitgestellt von doremifasolasido )

4
Azteca